何為SCA？聽聽一枚產品汪妹子的純乾貨分享

摘要： 剛畢業就成為了一名產品汪，還是高階大氣上檔次的網路安全行業（此處省略100字），而且還負責了一款重量級產品——配置核查系統，小妹又高興又惶恐，只能發奮學習，努力努力再努力！ 以下就是這段時間我對SCA的一些認識了，分享給大家，請大佬們多多指教。首先來看一下SCA的定義。 ...

剛畢業就成為了一名產品汪，還是高階大氣上檔次的網路安全行業（此處省略100字），而且還負責了一款重量級產品——配置核查系統，小妹又高興又惶恐，只能發奮學習，努力努力再努力！

以下就是這段時間我對SCA的一些認識了，分享給大家，請大佬們多多指教。首先來看一下SCA的定義。

一、 SCA 的定義

Gartner把SCA定義為Security Configuration Assessment，翻譯過來是安全配置評估，對其的說明是：提供了遠端評估和驗證配置的功能，例如Windows域組策略中的密碼複雜性；經常用於實現法規遵從性，例如PCI或內部安全策略合規性。

從字面意思看Gartner把其定義為“功能”，這種“功能”的作用是進行“遠端評估”和“驗證配置”，雖然文中缺少“安全”兩字，但是從例項分析，以及佐以Gartner文中其他的價值、功能和廠商等介紹，我們可以認為屬於安全範疇。

而國內常用的是安全配置核查，定義為對資訊系統配置操作，例如作業系統、網路裝置、資料庫、中介軟體等多類裝置的檢查。

當然一些網際網路廠商也將SCA用作Security Checklist Analysis的簡稱,定義為進行安全檢查、發現潛在危險、督促各項安全法規、制度、標準實施的一個較為有效的工具。

本文主要參照了前兩種方式來理解SCA。同時，Gartner給出了8個具有代表性的SCA廠商：Amazon，Tenable，Rapid7，BeyondTrust，Tripwire，IBM Bigfix，Tanium，Qualys，接下來對這幾個廠商進行更詳細的一個分析。

二、 SCA 的代表廠商及具體支援功能

以下挑了Gartner推薦中的5個廠商：BeyondTrust，Qualys，Rapid7，Tenable以及Tripwire，對其主要功能進行了綜合對比分析，參見下表（按首字母排序）：

從上表可知，Gartner認為一個標準的SCA至少需要以下幾大功能：

• 適用於儘可能多種類的作業系統，資料庫，中介軟體；
• 支援迅速響應；
• 支援自動化配置檢查；
• 支援生成報表；
• 合規性遵從，比如：FISMA，STIG，HIPPA，CIS，SCAP。

那麼每個廠商具體的SCA相關產品介紹又是什麼，以下進行分別的介紹：

1、BeyondTrust

資料來源：BeyondTrust官網

Retina配置合規性模組可以輕鬆地根據內部策略或外部最佳實踐稽核配置，同時集中報告以用於監控和監管目的。

主要特徵

• 開箱即用的配置稽核，報告和警報；
• 用於Windows作業系統的模板，以及用於FDCC，NIST，STIGS，USGCB和Microsoft應用程式的模板；
• 審計和安全設定，使用者許可權，日誌記錄配置等的評估；
• 內建報告並與Retina CS整合，用於增量，趨勢和其他分析；
• OVAL 5.6 SCAP認證的掃描引擎和直譯器。

Retina監管報告模組使您能夠有效地瀏覽複雜的法規遵從環境。 該模組通過將網路的特定漏洞對映到相關的公司政策，政府法規和行業標準，超越了通用合規報告。

主要特徵

1）與Retina CS和Retina配置合規性模組無縫整合；

2）PCI，HIPAA，SOX，GLBA，NIST，FERC / NERC，MASS 201，ISO，COBiT，ITIL，HITRUST等法規的合規報告；

3）將漏洞和配置問題對映到控制目標和任務；

4）合規性儀表板具有向下鑽取功能，可以立即一致地響應合規性違規；

5）持續更新新發現的漏洞和監管控制的變化。

2、 Qualys

資料來源：Qualys官網

覆蓋面廣

Qualys SCA是Qualys漏洞管理的附加項, 可讓您根據Internet安全(CIS)基準的中心評估、報告、監視和修正與安全相關的配置問題。它支援作業系統、資料庫、應用程式和網路裝置的最新的 CIS 基準釋出。

控制責任

Qualys SCA控制由Qualys安全專家在內部開發和驗證, 並由 CIS 認證。這些控制元件針對性能、可伸縮性和準確性進行了優化。Qualys SCA可以在任何大小的 IT 環境中使用, 從小的到最大的。

易用性

SCA的CIS評估是通過基於web的使用者介面和從 Qualys 雲平臺提供的, 從而實現集中化管理, 部署開銷最小。可以根據組織的安全策略選擇和自定義 CIS 控制元件。這就消除了與傳統的用於配置管理的軟體點產品相關的成本、資源和部署問題。

報告和儀表板

SCA 使用者可以安排評估, 自動建立可下載的配置問題報告, 並檢視儀表板以提高其安全態勢。這就帶來了Qualys SCA 在領先基準之後的安全最佳做法的自動化, 並讓保密團隊對數字業務安全採取主動的方法。

3、Rapid7

資料來源：Rapid7官網

滿足漏洞管理合規性要求：Nexpose使組織能夠始終遵守PCI DSS,NERC CIP,FISMA(USGCB/FDCC),HIPPAA/HITECH,Top20 CSC,DISA STIGS和風險/漏洞/配置管理的CIS標準。與其他可能是網路負擔多次掃描的解決方案不同，Nexpose的快速，統一的安全性和合規性評估通過為您提供完整的風險和合規性狀態來提高安全計劃的效能。

4、 Tenable

資料來源：Tenable官網

掃描功能：

• 覆蓋範圍：網路裝置的離線配置稽核；
• 合規性：幫助滿足政府，監管和企業掃描要求；
• 有助於對安全配置實施PCI DSS要求；

威脅：殭屍網路/惡意，程序/反病毒審計；

配置稽核：CERT,CIS,COBIT/ITIL,DISA STIG,FDCC,ISO,NIST,NSA,PCI。

5、Tripwire

資料來源：Tripwire官網

根據法規遵從性要求, 減少攻擊表面的主動配置硬化。減少稽核準備時間和成本, 並提供稽核報告和符合性證明。Tripwire擁有最大和最廣泛的支援策略和平臺的庫, 其中包含800多個策略, 並涵蓋了一系列平臺 OS 版本和裝置。Tripwire企業經常更新, 以確保您始終有您需要的覆蓋範圍。

關鍵配置錯誤需要立即糾正措施。Tripwire自動化並引導您快速修復不相容的系統和安全錯誤。您可以通過與 SIEMs、IT GRC 和更改管理系統的整合來自動化工作流。調查和根本原因特徵和比較快速地告訴您需要知道的：什麼改變了, 如何改變的, 什麼時候改變的和由誰改變的。

在對各個廠商提供的功能有所瞭解後，接下來對SCA的主要使用場景進行探討，分成兩個方面：傳統應用場景和新技術應用場景。

傳統應用場景包括合規，脆弱性管理。新技術應用場景比如工控，物聯網（包括IOT），雲平臺，容器，區塊鏈，以及Cloud Security Posture Management (CSPM)(配置檢查+CWPP)中，以下是具體介紹。

三、S CA 的應用場景

1.傳統場景下的應用

1）合規中的S CA

合規並不是僅滿足法律法規的要求，而是要在遵循法律法規的基礎上，關注各種規則、規範，同時協調好各方面的關係。合規中的SCA可以通過選擇對應的模板——進行對比分析——給出符合性結果——根據結果得出一個是否合規的結論，也包括整改方案。

國內資訊保安領域常用的規範是等級保護。等級保護是《資訊保安技術 網路安全等級保護基本要求》的簡稱，定義為對資訊和資訊系統分等級實行的安全保護和對資訊系統中使用的資訊保安產品實行的按等級管理。公安部也根據等保規範，制定了等保測評要求，等保1.0和等保2.0中涉及到SCA的部分要求對比如下：

國外也有許多規範，比如NIST,PCI DSS等，其中涉及到SCA的管理條例如下：

2）脆弱性管理中的S CA

系統脆弱性由安全基線來評估，系統實現層中的安全基線要求主要是由安全漏洞方面、安全配置方面等檢查項構成，這些檢查項的覆蓋面、有效性成為了基線安全實現的關鍵,如下圖所示：

安全配置核查，也就是我們的SCA，主要的檢查範圍是由人為疏忽造成的配置問題，主要包括了賬號、口令、授權、日誌、IP通訊等方面內容。安全配置與系統的相關性非常大，同一個配置項在不同業務環境中的安全配置要求是不一樣的，如在WEB系統邊界防火牆中需要開啟HTTP通訊，但一個WAP閘道器邊界就沒有這樣的需求，因此在設計系統安全基線的時候，安全配置是一個關注的重點。

2.新技術中的應用

1）物聯網（I OT ）中的S CA

通過對物聯網中的一些裝置，比如攝像頭，智慧恆溫器等的資訊採集，可直接或間接地暴露使用者的隱私資訊。如果生產商缺乏安全意識，很多裝置缺乏加密、認證、訪問控制管理的安全措施，物聯網中的資料就會很容易被竊取或非法訪問，造成資料洩露。這種新型的資訊網路往往會遭受有組織的 APT 攻擊。

物聯網不同層次可能有著相同的安全需求，下表對物聯網可能涉及到的SCA相關問題的威脅和對策做了總結：

2）工控中的S CA

根據工業網路安全合規標準和國內外的最佳實踐，通過常態化的工業網路安全評估，查詢突出問題和薄弱環境，排查安全隱患和安全漏洞，分析安全狀況和防護水平，有針對性地採取管理和技術防護措施，是提升工業企業網路安全保障能力，切實保障網路安全的有效途徑。在監管機構的安全檢查和工業企業自查過程中，複雜多樣的工業環境和數量巨大的評估物件都對評估人員的技術水平和工作量提出了很大的考驗。SCA在其中發揮的作用如下：

3）容器中的S CA

Kubernetes（k8s）是自動化容器操作的開源平臺，這些操作包括部署，排程和節點叢集間擴充套件。Kubernetes加快了容器部署，還讓使用者能夠管理大規模的多容器叢集。它便於持續整合和持續交付，處理網路、服務發現和儲存，還能夠在多雲環境中執行所有這些任務。Kubernetes中涉及到的配置問題及對策如下表：

除了認真遵循Kubernetes安全文件外，確保Kubernetes安裝部署的最佳方法是，儘早將安全納入到部署的環境中，通過正確配置主動保護環境比資料洩密發生後試圖應對要簡單得多，也省錢得多。另外，通過積極主動的監控來充分利用高階的安全運維（SecOps）實踐，提供了保護日益Serverless的環境所需要的那種可見性。

（參考資料：Kubernetes不是銀彈：配置錯誤、爆炸半徑）

4) 雲環境中的S CA

Dome9安全公司執行長Zohar Alon表示：“配置錯誤導致了目前雲中的大部分資料被盜和洩露事件。”

提供雲服務的方式多樣化也導致這個問題更加嚴重。開發人員建立了虛擬伺服器和容器，以便快速推出應用程式，儲存資料。業務部門通過自己註冊來使用服務，個人使用者也是如此。但本地資料中心所採用的傳統配置管理方法並不適用於雲服務。雲平臺通常有自己的系統來監視配置的更改。例如，AWS有AWS Cloud Trail和AWS Config。微軟的Azure雲平臺有其運營管理套件。其他流行的SaaS雲提供商沒有集中的管理工具，而是讓個人使用者負責自己的安全和共享設定。

雲端計算系統的配置核查物件如下表所示：

講了這麼多，請允許小妹夾帶點私貨吧（抱拳），給大家隆重介紹下我正在負責的產品——綠盟安全配置核查系統（NSFOCUS BVS），下面是它的詳細介紹。

四、綠盟安全配置核查系統

首先來看下NSFOCUS BVS的歷史，10年前，企業經常忽略安全配置問題，從而給企業帶來了很大的隱患，就像修建了堅固的城牆，但是忘記關城牆上的小門，導致攻擊者可以輕鬆的破門而入，造成不必要的財產損失。

一些管理者意識到了安全配置核查的重要性，開始用人工的方式逐一裝置登入進行檢查，以減少這類問題。綠盟科技也為其提供了相應的安全配置檢查服務，並從中積累了大量經驗；但是面對大量的IT系統，這種檢查方式需要的人力成本很高，失誤風險也極大。因此，在2008年，綠盟科技為某運營商客戶編寫了自動化安全檢查工具，在使用中獲得了客戶的高度評價，在移動行業迅速推廣開來，形成了今天的綠盟安全配置核查產品——NSFOCUS BVS。

這十年來，NSFOCUS BVS不僅通過了測評機構的資質認證，還根據國家資訊保安等級保護管理辦法中等級保護定級、系統建設、等級測評、監督檢查各個環節的要求，推出了綠盟科技等保專用規範，完善了產品操作功能，保障等級保護工作高效準確執行，並且根據2018年推出的等級保護2.0做了同步更新。在此基礎上，綠盟科技深耕不同行業，積累實踐了多個行業的安全配置經驗，擁有完善的安全配置知識庫，覆蓋政府、金融、能源、運營商、網際網路等大型企業，能全面的指導 IT 資訊系統的安全配置及加固工作，保障安全運維過程。

NSFOCUS BVS 通過自動化的進行安全配置檢查，從而節省傳統的手動單點安全配置檢查的時間，並避免傳統人工檢查方式所帶來的失誤風險，同時能夠出具詳細的檢測報告。它可以大大提高您檢查結果的準確性和合規性，節省您的時間成本，讓檢查工作變得簡單，是您身邊專業的“安全配置專家”。

NSFOCUS BVS 採用模組化設計，內部整體工作架構如下圖所示。

五、總結

SCA的介紹告一段落了，是不是對其有了一個全面的瞭解，同時，小妹在最後還是要送給大家一些乾貨。以下是我收集的近幾年因為SCA問題引起的重大安全事件，分享給大家：

1.2017年，美國工業關鍵基礎設施資料洩露

德州電氣工程公司的Rsync伺服器由於配置錯誤（一個埠配置為網際網路公開），大量客戶機密檔案洩露，包括戴爾Dell、奧斯丁城City of Austin、甲骨文Oracle以及德州儀器Texas Instruments等等。洩露的資料除了暴露出客戶電氣系統的薄弱環節和故障點外，還揭露了政府運營的絕密情報傳輸區的具體位置和配置。更危險的是，PQE內部密碼被明文儲存在資料夾中，如果落入不法分子之手，就能輕易攻破公司的多個系統。

2.2016年, MBS資料洩露

知名資料庫及資料儲存服務提供商MBS，遭到黑客攻擊。其MongoDB資料庫由於預設配置,沒有啟用認證，導致5800萬商業使用者的重要資訊洩露，包括名稱、IP地址、郵件賬號、職業、車輛資料、出生日期等資訊。

3.2014年,某線上票務公司資料洩露

某線上票務公司大量使用者銀行卡資訊洩露。洩露核心原因是安全支付的日誌配置所引發,並且觸發了遍歷下載。

根據OWASP的2017年報資料顯示,安全事件Top10當中,安全配置問題排在了第六的位置，再一次強調了它的重要性。

資料來源：OWASP（2017年）

最最最後還是要總結一下：

安全配置合規性要求，是 IT 業務系統安全性的基本安全要求，對各行各業安全規範要求的落地、對等級保護要求的具體化，建立行之有效的檢測手段是安全管理人員面臨的最為重要和迫切的問題，也需要安全廠商積極提供自動化的解決方案，幫助運維人員面對網路中種類繁雜、數量眾多的裝置和軟體環境，快速、有效的檢查裝置，進行自動化的安全檢查，製作風險稽核報告，並且最終識別那些與安全規範不符合的專案，以達到整改合規的要求。

通過對SCA的詳細瞭解，不禁要為SCA瘋狂打call。簡單粗暴的一句總結：把基礎做好才是真的好。也歡迎大家和我討論SCA相關問題，我們下一篇再會。